TCESB మాల్వేర్

ఆసియా అంతటా సైబర్ దాడులకు పేరుగాంచిన చైనాతో అనుబంధంగా ఉన్న బెదిరింపు సంస్థ, గతంలో నమోదుకాని, TCESB అనే కోడ్‌నేమ్ కలిగిన మాల్వేర్‌ను అందించడానికి ESET భద్రతా సాఫ్ట్‌వేర్‌లోని దుర్బలత్వాన్ని ఉపయోగించుకుంటున్నట్లు గమనించబడింది. ఈ కొత్తగా కనుగొనబడిన మాల్వేర్ భద్రతా చర్యలను దాటవేయడానికి మరియు పేలోడ్‌లను గుర్తించకుండా అమలు చేయడానికి రూపొందించబడింది.

టాడీక్యాట్: ఆసియాలో ఒక నిరంతర ముప్పు

టాడీక్యాట్ అనే అధునాతన ముప్పు సంస్థ, కనీసం డిసెంబర్ 2020 నుండి ఆసియాలోని బహుళ సంస్థలను లక్ష్యంగా చేసుకుని చురుకుగా ఉంది. వారి కార్యకలాపాలపై ఇటీవలి దర్యాప్తులో, రాజీపడిన వ్యవస్థలకు నిరంతర ప్రాప్యతను నిర్వహించడానికి మరియు ఆసియా-పసిఫిక్ ప్రాంతంలోని సంస్థల నుండి భారీ మొత్తంలో డేటాను సేకరించడానికి వారు వివిధ సాధనాలను ఉపయోగిస్తున్నట్లు వెల్లడైంది.

లోపాన్ని ఉపయోగించడం: DLL హైజాకింగ్ టెక్నిక్

2024 ప్రారంభంలో ToddyCat-సంబంధిత సంఘటనలను పరిశోధించే భద్రతా పరిశోధకులు బహుళ రాజీపడిన పరికరాల తాత్కాలిక డైరెక్టరీలో 'version.dll' అనే అనుమానాస్పద DLL ఫైల్‌ను కనుగొన్నారు. TCESBగా గుర్తించబడిన ఈ ఫైల్, DLL సెర్చ్ ఆర్డర్ హైజాకింగ్‌ని ఉపయోగించి అమలు చేయబడింది, ఇది దాడి చేసేవారు చట్టబద్ధమైన DLL ఫైల్‌లను భర్తీ చేయడం ద్వారా ప్రోగ్రామ్ అమలును నియంత్రించడానికి అనుమతిస్తుంది.

ఈ దాడి ESET యొక్క కమాండ్ లైన్ స్కానర్‌లోని లోపాన్ని ప్రభావితం చేస్తుంది, ఇది 'version.dll' ఫైల్‌ను అసురక్షితంగా లోడ్ చేస్తుంది. సిస్టమ్ డైరెక్టరీల నుండి చట్టబద్ధమైన వెర్షన్‌ను లోడ్ చేయడానికి బదులుగా, ఇది ముందుగా ప్రస్తుత డైరెక్టరీని తనిఖీ చేస్తుంది, దాడి చేసేవారికి వారి స్వంత హానికరమైన DLLని ప్రవేశపెట్టే అవకాశాన్ని ఇస్తుంది.

CVE-2024-11859: దోపిడీకి గురైన దుర్బలత్వం

CVE-2024-11859 (CVSS స్కోరు: 6.8) గా ట్రాక్ చేయబడిన ఈ దుర్బలత్వం, నిర్వాహక అధికారాలు కలిగిన దాడి చేసేవారికి సురక్షితం కాని కోడ్‌ను అమలు చేయడానికి వీలు కల్పించింది. అయితే, ఆ లోపం స్వయంగా అధిక అధికారాలను మంజూరు చేయలేదు - దాడి చేసేవారికి దానిని దోపిడీ చేయడానికి ఇప్పటికే నిర్వాహక ప్రాప్యత అవసరం. ESET జనవరి 2025లో దుర్బలత్వాన్ని సరిచేసింది, Windowsలో దాని వినియోగదారు, వ్యాపారం మరియు సర్వర్ భద్రతా ఉత్పత్తుల కోసం నవీకరణలను జారీ చేసింది.

EDRSandBlast ను ఆయుధీకరించడం: TCESB భద్రతా రక్షణలను ఎలా నిలిపివేస్తుంది

TCESB అనేది ఓపెన్-సోర్స్ సాధనం EDRSandBlast యొక్క సవరించిన వెర్షన్. ఇది నోటిఫికేషన్ రొటీన్‌లు (కాల్‌బ్యాక్‌లు) వంటి భద్రతా విధానాలను నిలిపివేయడానికి కెర్నల్ నిర్మాణాలను మానిప్యులేట్ చేస్తుంది, ఇవి ప్రాసెస్ సృష్టి లేదా రిజిస్ట్రీ మార్పులు వంటి క్లిష్టమైన సంఘటనల గురించి సిస్టమ్ డ్రైవర్లను హెచ్చరించే కీలక విధులు.

దీనిని సాధించడానికి, TCESB ప్రసిద్ధ బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్ (BYOVD) టెక్నిక్‌ను ఉపయోగిస్తుంది, డివైస్ మేనేజర్ ఇంటర్‌ఫేస్ ద్వారా వల్నరబుల్ డెల్ డ్రైవర్ (DBUtilDrv2.sys)ను ఇన్‌స్టాల్ చేస్తుంది. ఈ డ్రైవర్ CVE-2021-36276 ద్వారా ప్రభావితమవుతుంది, ఇది ప్రివిలేజ్ ఎస్కలేషన్ వల్నరబిలిటీ.

డెల్ డ్రైవర్లు: పునరావృతమయ్యే బలహీనమైన లింక్

సైబర్ దాడుల్లో డెల్ డ్రైవర్లు దుర్వినియోగం కావడం ఇదే మొదటిసారి కాదు. 2022లో, ఉత్తర కొరియాతో సంబంధం ఉన్న లాజరస్ గ్రూప్ భద్రతా విధానాలను నిలిపివేయడానికి మరొక డెల్ డ్రైవర్ దుర్బలత్వాన్ని (CVE-2021-21551) ఉపయోగించుకుంది. భద్రతా చర్యలను దాటవేయడానికి దాడి చేసేవారు పాత లేదా దుర్బల డ్రైవర్లను ఉపయోగించడం కొనసాగిస్తున్నారు.

TCESB అమలు వ్యూహం

దుర్బల డ్రైవర్‌ను ఇన్‌స్టాల్ చేసిన తర్వాత, ప్రస్తుత డైరెక్టరీలో నిర్దిష్ట పేరుతో పేలోడ్ ఫైల్ కోసం TCESB ప్రతి రెండు సెకన్లకు నిరంతరం తనిఖీ చేస్తుంది. పేలోడ్ ప్రారంభంలో లేకపోతే, అది కనిపించే వరకు TCESB వేచి ఉంటుంది. AES-128ని ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడిన పేలోడ్, ఆపై డీకోడ్ చేయబడి అమలు చేయబడుతుంది.

గుర్తింపు మరియు నివారణ చర్యలు

• అటువంటి బెదిరింపులను ఎదుర్కోవడానికి, భద్రతా బృందాలు వీటిని చేయాలి:
• డ్రైవర్ ఇన్‌స్టాలేషన్ ఈవెంట్‌లను పర్యవేక్షించండి, ముఖ్యంగా హాని కలిగించే డ్రైవర్‌లకు సంబంధించిన వాటిని.
• అనుమానాస్పద కెర్నల్ డీబగ్గింగ్ కార్యకలాపాల కోసం చూడండి, ముఖ్యంగా కెర్నల్ డీబగ్గింగ్ ఊహించని వ్యవస్థలలో.
• తెలిసిన దుర్బలత్వాలకు సంబంధించిన ప్యాచ్‌లతో సహా అన్ని భద్రతా సాఫ్ట్‌వేర్‌లు నవీకరించబడ్డాయని నిర్ధారించుకోండి.
• దాడి చేసేవారు అటువంటి దుర్బలత్వాలను ఉపయోగించుకోకుండా నిరోధించడానికి నిర్వాహక అధికారాలను పరిమితం చేయండి.

సైబర్ ముప్పు శక్తులు అభివృద్ధి చెందుతున్నందున, అప్రమత్తంగా ఉండటం మరియు చురుకైన భద్రతా చర్యలను అమలు చేయడం టాడీక్యాట్ నిర్వహించిన అధునాతన దాడుల నుండి రక్షించడంలో చాలా కీలకం.